Arturu.it » Web

Che cos’è anonymous, alla ricerca del movimento che vuole cambiare il mondo

arturu — Sat, 30 Jul 2011 01:20:29 +0000

Ultimamente mi ha incuriosito un movimento nato su Internet chiamato Anonymous. Il movimento nasce anni fa sulla piattaforma Imageboard di http://www.4chan.org/, dalla spontanea aggregazione di persone che commentavano la board /b/ firmandosi come Anonymous. Quel primo movimento caotico e multiculturale, è formato da numerose culture e idee ma una tra tutte prevale e che accomuna i suoi membri: “Cambiare il Mondo e renderlo più giusto”; favoloso, chi non ha mai avuto un desiderio simile, un po’ tutti penso. Questo movimento cresce e si diffonde in tutto il mondo, fino a diventare quello che è oggi, dai più definito superficialmente come un gruppo di hacker che compiono crimini, ma, secondo quello che ho visto fino ad ora, non è solo questo, c’è dell’altro.

Sviluppo del movimento

Le prime notizie di azioni rilevanti del movimento si hanno nel 2006, gli Hacktivisti di Anonymous si scagliano contro un parco divertimenti dell’Alabama reo di aver vietato a un bambino affetto di AIDS di immergersi in una piscina. Successivo è l’attacco al sito di un autore radio-fonico, Hal Turner, colpevole di sostenere la tesi della supremazia della razza bianca su tutte le altre. Nel Dicembre 2007 gli Hacktivisti di Anonymous smascherano il pedofilo Chris Forcand segnalandolo alla polizia e fornendo prove della sua compevolezza.

Nel 2008 gli Hacktivisti di Anonymous si organizzano per combattere la famigerata e temibile setta di Scientology. In questa occasione molti manifestanti si mascherano da Guy Fawkes temendo le ritorsioni della setta. La reazione di Scientology si fa sentire con azioni diffamatorie nei confronti di Anonymous, la setta defaccia un sito per ragazzini epilettici inserendo immagini in movimento che causano crisi firmandosi con il nome di Anonymous.

Il gruppo di Hacktivisti di Anonymous sostiene d’aver dato supporto informatico ai movimenti liberali dell’Iran, dello Zimbabwe, della Tunisia, dell’Egitto che poi sono sfociati nelle rivolte popolari atti a rovesciare i governi. In fine dando supporto agli Indignados spagnoli cavalcando il vento di anti-politica che sta nascendo in Europa.

Anonymous supporta e promuove i documenti di WikiLeaks. Attacca visa, paypal e altri istituti bancari quando essi decidono di non accettare più donazioni in favore di WikiLeaks.

Se volete approfondire l’aspetto storico, informazioni si trovano su wikipedia (presumibilmente scritte dagli stessi Anonymous): Anonymous, Imageboard.

Il concetto di Hacktivista

Attualmente, la maggior parte dei membri si definisce hacktivista e non hacker nel senso stretto del termine, la differenza è sottile e non di facile comprensione. Un hacktivista si definisce come un manifestante nel mondo digitale.

L’Hacktivista con la sola presenza su un sistema informatico esplica la sua funzione di protesta. Come tutti sanno quando un server ha un grosso numero di accessi incomincia a non funzionare bene, cioè inizia a razionalizzare le proprie risorse finché non fornirà più alcun dato. Finita la manifestazione di protesta gli hacktivisti abbandonano il server ed esso, senza alcun danno, inizia a fornire nuovamente dati.

Alcune volte tra gli hacktivisti si “intrufolano” veri e propri hackers che tentano di violare i sistemi informatici presi di mira, certamente è difficile capire se ci sono nessi tra gli hacktivisti e hackers.

Gli hacker del movimento

Questa possiamo dire che è la parte più estremista del movimento. Come tutti ben sanno, in Italia il movimento di Anonymous è diventato noto per gli attacchi, ad opera da parte di una corrente interna di hacker, verso alcuni siti web italiani e non:

Enel.com, con la motivazione di “ancora una volta mostra di perseguire i propri interessi in modo indegno. Al fine di costruire impianti idroelettrici in Guatemala, nel municipio di Cotazal, l’Enel assolda (con i denari di tutti gli italiani) 500 mercenari in assetto di guerra con passamontagna e forze antisommossa per occupare la comunità indigena maya ixil di San Felipe Chenla, che dal 3 gennaio sta protestando contro la Enel” (fonte non più disponibile in quanto il sito che rivendicava l’attacco è stato oscurato);
i siti web della sony e specialmente la piattaforma di gioco online, a quanto pare gli hacktivisti di Anonymous sostengono che i videogiochi rimbecilliscono le persone;
molti siti governativi Statunitensi in quanto l’amministrazione americana ha arrestato l’hacker che ha fornito ad Assange i materiali riservati pubblicati su wikileaks;
Paypal in quanto ha rifiutato di accettare donazioni in favore di wikileaks;
molti siti delle università italiane per dimostrare alle stesse la fragilità dei loro sistemi;
il sito dell’Agicom con la denuncia di “L’Agcom vorrebbe istituire una procedura veloce e puramente amministrativa di rimozione di contenuti online considerati in violazione della legge sul diritto d’autore.
L’Autorità potrebbe sia irrogare sanzioni pecuniarie molto ingenti a chi non eseguisse gli ordini di rimozione, sia ordinare agli Internet Service Provider di filtrare determinati siti web in modo da renderli irraggiungibili dall’Italia. Il tutto senza alcun coinvolgimento del sistema giudiziario. Questa normativa dovrebbe entrare in vigore tra pochi giorni. Per questo chiediamo l’aiuto di tutti in questa protesta” contro misure che minano “alle fondamenta il diritto di avere una Rete libera e imparziale” fonte;
i siti vicini al partito del Pdl, per la questione Agcom;
il Cnaipic, ma questa è una storia controversa in quanto ci sono state prima delle rivendicazioni e poi delle smentite, però non si capisce la motivazione;

A quanto ho intuito, ma non lo posso dimostrare, il gruppo di hacker è alla ricerca di documenti “scottanti” che possono comprovare insabbiamenti e “la corruzione interna ai governi”, documenti che successivamente verranno usati per le altre fasi del loro piano.

Organizzazione

Facendo un analisi molto superficiale Anonymous sembra un movimento caotico e totalmente anarchico, ma cercando di capire ed analizzando un pochino si scopre che non è del tutto così. Navigando tra i canali della chat ho notato una struttura organizzata per temi e aree geografiche, fatta eccezione per il caotico canale italiano; sul canale italiano gli attacchi al canipic hanno attirato una moltitudine di persone in cerca di fama, perciò, è stato quasi impossibile riuscire a capire che cos’è Anonymous.

A quanto ho capito Anonymous non ha una gerarchia o una linea gerarchica, ma è formata da gruppi autogestiti che perseguono un obiettivo comune: “Cambiare il Mondo e renderlo più giusto”. In bocca al lupo!

L’intera organizzazione del movimento non è gestita in un unico sito ma è distribuita su una moltitudine di siti web, quelli che sono riuscito a rintracciare sono i seguenti:

http://www.whatis-theplan.org, “Il piano per cambiare il mondo”;
http://anonops.blogspot.com/;
http://anonops-ita.blogspot.com/
http://www.anonnewsnet.com/;
http://anonnews.org/;
http://www.whyweprotest.net/;
http://hbgary.anonleaks.ch/;
http://youranonnews.tumblr.com/;
http://lulzsecurity.com/;
http://anonplus.infiniteserve.com/;
http://irc.lc/AnonOps/OpItaly , la chat italiana;
tanti altri basta cercare su google o dai collegamenti dei siti citati.
numerosi account su twitter, facebook e social network in genere…

Il piano per cambiare il mondo in un anno

Diciamo che è ambizioso come obiettivo. Per ora sono riuscito a trovare soltanto dei video su youtube, e “Il piano” è suddiviso in tre fasi dalla durata totale di un anno. La prima fase è iniziata il 15 Giugno 2011, presumibilmente è la fase di presentazione visto che stanno facendo tutto sto “baccano”. In che cosa consistano le altre due fasi non si riesce a capire in quanto nei video viene detto che “i dettagli saranno rilevati in seguito”. Ve ne propongo alcuni tra i più “folcroristici”:

Conclusioni

Diciamo che queste sono le prime impressioni che mi son fatto su Anonymous. Sono molto curioso su questo movimento, specialmente di capire se la storia “Del cambiare il Mondo” fino a quanto può essere vera, comunque, ci sono molti punti oscuri che non riesco a spiegare. Vedremo che succede.

Saluti.

PS Se a “qualcuno” non è piaciuto l’articolo e decide di attaccarmi, lo faccia pure, sicuramente riuscirà a fare danni; sono abbastanza conscio che la sicurezza assoluta non esiste. In questo articolo ho solo raccontato, liberamente, ciò che son riuscito a vedere e a conoscere.

Come collegare account google+ facebook twitter yahoo flikr linkedIn quora yelp hotmail plaxo

arturu — Tue, 19 Jul 2011 18:01:13 +0000

Posted in Soluzioni Web

Questi Social Network stanno veramente diventando stressanti, migliaia di account, un sacco di login e password diverse, post qua, riposti la, post giù, condividi, mi piace, ecc… Si esce pazzi, quasi quasi mi cancello da tutti, a meno che non posso gestirli tutti tramite un unico account. Mi domando, come fare a gestire (collegare) con un unico account tutti gli altri account su google+, facebook, linkedin, flikr, hotmail, yelp, quora, plaxo, ecc…

Forse google mi può salvare, si google mi può salvare, google mi salverà…

In alto a destra c’è la rotellina, cliccare su “Impostazioni Google+” successivamente dal menù a sinistra su “Account Collegati”. Appare la seguente immagine, poi è facile: si sceglie l’account e si seguono le istruzioni. Possiamo gestire con un unico account google+ collegando: facebook, twitter, yahoo, flikr, linkedIn, quora,yelp, hotmail e plaxo.

Edit——

Forse stavolta ho preso un abbaglio, non mi sembra che sia cambiato qualcosa, dovrò indagare, stavo goongoloando…

Notizie interessanti luglio 2011: Kernel 3, vmware 5, hack SecureID, Ebay, hack Skype, Anonymous

arturu — Tue, 19 Jul 2011 10:36:13 +0000

Posted in Hacking Linux News Open Source Vulnerabilità Web

Ecco un elenco di notizie degli ultimi due mesi che reputo interessanti per il modo informatico e le ripropongo ai lettori del blog. Gli argomenti spaziano da: rilascio del kernel linux 3.0, rilascio di vmware 5, SecureID violato, Ebay acquista Magento, Skype violato, Social Network, una notizia di un mese fa su Anonymous.

E’ stato rilasciato il kernel linux 3.0 www.kernel.org . La mail originale di Linus Torvald che annuncia il rilascio del kernel 3.0 http://lwn.net/Articles/444314 .
Rilasciato VmWare ESXi 5 http://suretalent.blogspot.com/2011/05/vmware-esxi-50-release-features-of.html
Lockheed Martin RSA tra i più grandi produttori di armi al mondo violata, a quanto pare è stato duplicato un token RSA SecurID. http://www.pcmag.com/article2/0,2817,2386086,00.asp evento che rende pericolosa anche le transazioni online.
Ebay acquista Magento http://www.magentocommerce.com/blog/ebay-agrees-to-acquire-magento
Le chiamate su skype si possono intercettare http://www.scmagazine.com.au/News/258827,how-to-intercept-skype-calls.aspx grazie al reverse engineering del protocollo http://tech.slashdot.org/story/11/06/02/1914250/Skype-Protocol-Has-Been-Reverse-Engineered durato anni. Una possibile alternativa potrebbe essere http://www.fsf.org/blogs/community/skype-replacement-projects
Anche gli hackers di Anonymous vogliono lanciare il loro Social Network, logicamente solo notizie in completo anonimato, forse non gli è andata giù l’estromissione da Google+ , oppure per uno spirito di concorrenza con il nuovo Social Network della Microsoft annunciato in modo maldestro http://www.socl.com/. Il social di Anonymous http://anonplus.com/ in questa pagina l’annuncio http://www.examiner.com/anonymous-in-national/anonplus-the-anti-social-networkhttp-anonplus-com
E per ultimo una notizia vecchia, il 3 giugno 2011 il team di hackers Lulz Security diffonde online la configurazione del server web di nintendo.com dopo averlo violato, la ripropongo, magari a qualcuno interessa vedere come i grossi web server vengono configurati e gli errori che si fanno, prima però una massima di qualcuno che non ricordo il nome:

Chi non conosce gli errori della Storia, è destinato a ripeterli

configurazione server web nintendo.com

Saluti

@LulzSec all’attacco di thesun.co.uk di Murdoch con annuncio della morte

arturu — Mon, 18 Jul 2011 22:57:43 +0000

Posted in Hacking Web

In queste ore @LulzSec (19 Luglio 2011 ore 00:57 +1) con un attacco DDOS sta attaccando il giornale di Murdoch www.thesun.co.uk. Infatti se tentate di visualizzare la pagina http://www.thesun.co.uk/sol/homepage/ dopo pochi secondi verrete renderizzati su http://twitter.com/#!/LulzSec account twitter degli attaccanti.

Gli Hacker hanno messo su un articolo che è stato subito cancellato, ma ancora la pagina di thesun.co.uk renderizza sull’account twitter di LulzSec. L’attacco è stato annunciato con questo post su twitter:

We have joy we have fun we will mess up Murdoch’s Sun: http://t.co/JArvwg1 | Hi Rupert! Avere domani divertimento al Parlamento! # AntiSec Have fun tomorrow at the Parliament! #AntiSec

L’articolo che hanno messo su è il seguente:

Rupert Murdoch, the controversial media mogul, has reportedly been found dead in his garden, police announce.
Murdoch, aged 80, has said to have ingested a large quantity of palladium before stumbling into his famous topiary garden late last night, passing out in the early hours of the morning.
“We found the chemicals sitting beside a kitchen table, recently cooked,” one officer states. “From what we can gather, Murdoch melted and consumed large quantities of it before exiting into his garden.”
Chemicals found in house
Authorities would not comment on whether this was a planned suicide, though the general consensus among locals and unnamed sources is that this is the case.
One detective elaborates. “Officers on the scene report a broken glass, a box of vintage wine, and what seems to be a family album strewn across the floor, containing images from days gone by; some containing handpainted portraits of Murdoch in his early days, donning a top hat and monocle.”
Another officer reveals that Murdoch was found slumped over a particularly large garden hedge fashioned into a galloping horse. “His favourite”, a butler, Davidson, reports.
Butler Davidson has since been taken into custody for additional questioning.

Gli hacker sostengono di aver dirottato anche le mail. Del motivo di questo attacco non si capisce il perché, forse per gli ultimi avvenimenti? bho… o perché si vocifera nell’ambiente di quel fatto di tele+ e degli hacker assoldati per craccare le schede che hanno indebolito a livello economico l’emittente che successivamente è stata assorbita da Murdoch? oppure semplicemente un passatempo estivo…

Notte…

9:15 Aggiornamento: notizie sulla dinamica qua http://www.guardian.co.uk/technology/2011/jul/19/how-lulzsec-hacked-sun-website

Come installare CentOS dalla rete con netinstall

arturu — Mon, 11 Jul 2011 16:10:59 +0000

Posted in Linux Open Source OS Sistemista Soluzioni Web

Continuano i miei “giochi” su CentOS, oggi vedremo come installare CentOS recuperando i file di installazione dalla rete utilizzando l’immagine netinstall. Inoltre, vedremo anche come configurare un’installazione minima, senza interfaccia grafica, utile per un server web, mail, e tutto quello che potrebbe offrirci un server. Non servono particolari conoscenze per installare CentOS, un minimo di conoscenze dei sistemi linux possono bastare.

Come prima cosa bisogna recuperare l’immagine di avvio, esistono diversi mirrors da cui scaricare l’immagine che ci interessa, io utilizzo spesso http://mirrors.kernel.org ma nessuno vieta di utilizzare altri server mirror compresi gli ftp pubblici. Ci spostiamo tra le cartelle e raggiungiamo http://mirrors.kernel.org/centos/5/isos/ , qui dobbiamo scegliere l’architettura che ci interessa, nel mio caso i386 e scaricare l’immagine iso con il suffisso -netinstall che nel mio caso è http://mirrors.kernel.org/centos/5/isos/i386/CentOS-5.6-i386-netinstall.iso. Masterizzare l’iso su un cd, reboot e avvio dell’immagine, oppure, configurare una macchina virtuale.

Alla schermata di boot premete invio per far iniziare l’installazione, come al solito rispondete ad un po’ di domande tipo la scelta della lingua (consiglio evitare di scegliere il cinese, è un po’ complicato ) e il layout della tastiera fino ad arrivare alla schermata “Metodo d’installazione”.

A questo punto bisogna indicare dove si trovano i file di installazione, nel nostro caso si trovano su http://mirrors.kernel.org/centos/5/os/i386/ , quindi dobbiamo selezionare come “Media” il protocollo HTTP e cliccare OK.

Ci verrà chiesto di configurare la scheda di rete del nostro server, sia con ipv4 che con ipv6. Possiamo fare due scelte: lasciamo tutto automatico e a post-installazione impostiamo un indirizzo statico (tramite interfaccia grafica); oppure, impostiamo manualmente la scheda, io ho optato per la seconda opzione.

Siamo arrivati al punto cruciale di questa guida, appena impostata la scheda di rete ci verrà chiesto da dove reperire i file di installazione. Ci verrà chiesto di inserire il “nome del sito web”, è il dominio dove sono ospitati i files, inserire il nome senza il protocollo (l’avevamo già scelto in precedenza), nel nostro caso:

mirrors.kernel.org

e come “Directory CentOS” inseriamo

centos/5/os/i386/

rispettiamo rigorosamente gli slash, tenera presente che “http://” viene aggiunto in automatico prima del dominio, stessa cosa per lo slash “/” dopo il dominio. Al posto del nome di dominio si può mettere anche un indirizzo ip. Se precedentemente avete scelto un altro media verranno richiesti i parametri per quel tipo di connessione.

Inizierà il recupero dei file di installazione dalla rete, al termine verrà visualizzata l’interfaccia grafica per l’installazione di CentOS. Verranno richieste le solite impostazioni: partizioni disco, impostazione schede di rete, fuso orario e password di root. La schermata successiva all’impostazione della password di root è la scelta del tipo di configurazione, nel nostro caso scegliamo “server” e omettiamo di installare l’interfaccia grafica (orpello inutile e spreca-risorse per un server web), in questo passo possiamo scegliere di installare anche servizi aggiuntivi e aggiungere servizi all’installazione minimale, es: mysql, dns, posta, ecc. Cliccando avanti parte l’installazione, riavviare il sistema senza cd.

Al primo avvio partirà il tool di configurazione dei servizi (demoni, firewall, Selinux, ecc.), in caso il tool non parte o viene annullato si può farlo ripartire lanciando “setup” dopo il login.

Se si è scelto di installare il tutto su una macchina virtuale e la scheda di rete è impostata in bridge, in caso di mancata risoluzione dei dns modificare il file:

/etc/sysconfig/network-scripts/ifcfg-eth0

aggiungendo le seguenti stringhe alla fine (DNS1 è un esempio, DNS2 è OpenDNS)

DNS1=192.168.1.254
DNS2=208.67.222.222

Di seguito le immagini in sequenza per i più pigri che si scocciano a leggere tutto quello che ho scritto.

Saluti Arturu.it

Incendio Server Aruba

arturu — Fri, 29 Apr 2011 07:41:05 +0000

Posted in News Reti Web

Arezzo Mattina del 29 Aprile – Si è sviluppato un incendio nella zona degli UPS di Aruba, attualmente i server sono stati spenti per sicurezza (a quanto dice Aruba), quindi mezzo web italiano non è raggiungibile. A quanto sembra si presenta una mattinata lunga per chi ha ospitato presso Aruba il proprio servizio web, posta, posta certificata e altro, circa mezzo web italiano, si è parlato di circa un milione di domini.

Aruba per correre ai ripari ha aperto un account su twitter a questo indirizzo: http://twitter.com/#!/Arubait, le prime informazioni sono state queste:

Arubait Aruba it
Aruba:Causa principio di incendio nella serverfarm principale si è attivato l’energit poweroff togliendo energia alla struttura

Arubait Aruba it
sono in corso le verifiche e le operazioni di messa in sicurezza della zona. seguiranno aggiornamenti.

Arubait Aruba it
Aruba: il principio di incendio ha coinvolto la zona degli ups senza intaccare le sale dati.

Arubait Aruba it
A seguito del principio di incendio sulle batterie degli UPS, confermiamo che le macchine server e le sale dati non hanno subito alcun danno

Il resto delle informazioni si possono trovare su: http://twitter.com/#!/Arubait

Non usate Internet Explorer

arturu — Fri, 22 Jan 2010 21:20:01 +0000

Posted in Hacking Microsoft News Vulnerabilità Web

In Francia e Germania le autorità diffondono una nota: non usate Internet Explorer. Alla base della vicenda c’è una vulnerabilità relativa a Internet Explorer versione 6 su sistema operativo Windows XP. Lo stesso problema di sicurezza starebbe alla base del contenzioso tra Google governo cinese.

Il governo tedesco agli utenti: «Non usate Explorer»”,” Explorer, anche la Francia lancia l’allarme”. Sono questi i titoli di alcuni dei principali quotidiani online dedicati a una vicenda che merita un minimo approfondimento. Riportiamo il calendario a qualche giorno fa e per rinfrescare la memoria segnaliamo questo link dedicato alla vicenda in cui Google e Governo cinese si trovano a confrontarsi. Google ha rilevato alcune violazioni dei propri sistemi informatici notando accessi indesiderati ad alcuni account di posta elettronica: tali caselle email sarebbero per di più riconducibili ad alcuni attivisti cinesi per i diritti umani.

Da Mountain View vengono chieste spiegazioni alle autorità cinesi con la minaccia da parte di Google di sospendere ogni attività in Cina: Google parrebbe disposta a rinunciare alle enormi opportunità di business legate ai forti tassi di crescita del mercato IT in Cina e all’elevato numero di utenti potenzialmente raggiungibile. Per il momento il governo cinese non ha dato importanti riscontri, e pure le autorità americane si sono fatte avanti per far chiarezza sull’accaduto: oltre a Google ci sarebbero altre 30 aziende fatte oggetto di attacchi informatici provenienti dalla Cina. La vicenda è ancora tutta da chiarire nei suoi dettagli e, forse, ai giornali giungerà solo una parte di tali informazioni.

Questi appena descritti sono in estrema sintesi i fatti di cronaca a cui però si deve aggiungere un dettaglio essenziale e importante per poter comprendere i titoli dei quotidiani citati in apertura. Stando a quanto identificato da molti esperti di sicurezza informatica, tra i quali i tecnici di McAfee, alla base degli attacchi subiti da Google e dai già citati account Gmail vi sarebbe una vulnerabilità di alcune versioni datate di Internet Explorer.

Sarebbe proprio la vulnerabilità di Internet Explorer ad aver scatenato un putiferio in Europa tanto da indurre il Bundesamt fuer Sicherheit in der Informationstechnik – l’Ufficio Federale responsabile per la sicurezza informatica – a diffondere un comunicato nel quale invita a non usare Internet Explorer senza se e senza ma. Anche disattivando ActiveX e impostando il più alto livello di sicurezza Internet Explorer nelle versioni 6, 7 e 8 viene definito insicuro da BSI e gli utenti sono invitati a utilizzare browser alternativi.

Alla presa di posizione delle autorità tedesche fa eco un’analoga dichiarazione del CERTA (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatique) francese. Il messaggio è in sostanza il medesimo: utilizzate un browser alternativo.

A tutte queste dichiarazioni si contrappongono altre prese di posizione non così convinte della pericolosità di Internet Explorer, o meglio non convinte che altre alternative possano offrire condizioni di utilizzo veramente sicure all’utente finale. Sophos prende chiaramente posizione a fianco di Microsoft e nel blog di Graham Cluley – senior technology consultant – si legge:

“Sembra che i governi europei facciano a gara a mettere in guardia gli utenti e gli enti pubblici contro i pericoli di Internet Explorer, invitandoli a non utilizzare questo strumento fino a quando Microsoft non avrà risolto i problemi di sicurezza ma non bisogna agire in modo avventato! Spingere gli utenti ad abbandonare Internet Explorer può essere rischioso in quanto non tutti sono a proprio agio nell’utilizzare altri browser e potrebbero dunque riscontrare dei problemi nel supporto, soprattutto in considerazione del fatto che alcune applicazioni web-based non funzionano adeguatamente senza Internet Explorer. Cambiare browser ha senso solo se l’utente ha una buona conoscenza del nuovo strumento prescelto. Questo è il classico caso in cui potrebbe essere meglio non lasciare la strada vecchia per quella nuova, a meno di non conoscere perfettamente l’alternativa che si è deciso di seguire”.

Ora, in un contraddittorio è lecito dare la parola all’accusa – e lo abbiamo fatto indicando gli annunci fatti dalle autorità francesi e tedesche – ma anche alla difesa, e lo facciamo segnalandovi questo breve video diffuso poche ore fa da Microsoft Italia.

Internet Explorer -

Il video per ovvie ragioni non scende troppo nel dettaglio ma da parte Microsoft vengono citate ulteriori fonti di approfondimento. Cerchiamo ora di capire meglio il problema relativo a Internet Explorer e alla vicenda nel suo complesso per poi valutare in maniera autonoma l’accaduto.

Dalle caratteristiche pubblicate per sfruttare la vulnerabilità di Internet Explorer 6 – Microsoft indica solo questa versione affetta dalla vulnerabilità in oggetto- gli utenti che hanno subito un attacco sono stati indotti a visitare una particolare pagina web appositamente creata. Nel caso specifico potrebbe essere stata usata una email, insomma Microsoft sottolinea la natura mirata degli attacchi ai singoli utenti e non all’infrastruttura di Google.

A ciò nella ricostruzione di Redmond viene fatto notare un dato di fatto non trascurabile: la vulnerabilità è sfruttabile su sistema operativo Microsoft Windows XP e con Internet Explorer versione 6. Microsoft sottolinea come entrambi i prodotti siano vetusti – vengono definiti paleolitici dal blog di Feliciano Intini – sottolineando come oggi sia disponibile Windows 7 e Internet Explorer 8. Per la versione del browser ci sentiamo di condividere la posizione di Microsoft mentre per quanto riguarda il sistema operativo è inutile sottolineare quanto Windows XP sia tutt’oggi diffuso, soprattutto in molte aziende. Per Microsoft pare non esserci alcun allarme straordinario, anzi i vari esponenti approfittano della situazione per sensibilizzare su un aspetto fondamentale per la sicurezza: l’aggiornamento del software e del sistema operativo.

Un dettaglio però non ci tornava e abbiamo voluto chiedere diretto riscontro a Feliciano Intini -chief security advisor di Microsoft Italia -. Nelle note delle autorità tedesche e francesi vengono indicati come potenzialmente vulnerabili anche Internet Explorer 7 e 8, mentre dalle informazioni diffuse da Microsoft il problema parrebbe limitato alla sola versione 6 in abbinamento a Windows XP. Inutile sottolineare che su molti altri articoli pubblicati non venga nemmeno indicata la versione di Internet Explorer. Questa omissione farebbe quindi supporre che tutti gli utenti abituati all’uso di tale software siano in pericolo.

Siamo quindi andati alla fonte rivolgendo il quesito all’esperto di Microsoft. La situazione più pericolosa si concretizza su PC dotati di sistemi operativi Microsoft Windows XP in abbinamento Internet Explorer versione 6. La stessa vulnerabilità è presente in Internet Explorer 7 e 8 ma con sistema operativo più recente preoccupa di meno se l’utente abilità la modalità IE Protected Mode e DEP. Al momento è nota l’esistenza di attacchi a sistemi dotati di Internet Explorer 6 e Windows XP e pare più complicato sfruttare le medesime vulnerabilità su sistemi più aggiornati. Detto ciò, e Microsoft stessa lo ammette, il problema va risolto e anche in fretta.

Nell’apertura di questo articolo abbiamo descritto una situazione molto seria e problematica, soprattutto in relazione alla diffusione di Internet Explorer e al potenziale bacino di utenti a rischio. Nell’analisi dei fatti il tutto risulta più limitato e circostanziato. Sia chiaro: la vulnerabilità in Internet Explorer 6 rimane e al momento è meno preoccupante nelle versioni 7 e 8, andrà risolta magari senza aspettare il prossimo patch day.

Stando alle attuali informazioni disponibili e in attesa di eventuali sviluppi, la sitazione diviene pericolosa in un contesto nel quale l’utente o chi per esso non sia in grado di gestire correttamente il proprio sistema omettendo poche e semplici abitudini che ormai da anni descriviamo: software e sistema operativo aggiornato con le ultime patch in abbinamento a suite per la sicurezza completa (il solo antivirus potrebbe non bastare!), magari non sviluppata da Microsoft ma da terze parti in virtù di una maggiore possibilità di scelta.

In apertura abbiamo citato enti francesi e tedeschi e pare doveroso segnalare il punto di vista del CERT-SPC -unità di prevenzione e gestione degli incidenti informatici del Sistema Pubblico di Connettività – italiano che in una nota diffusa qui riporta:

In relazione alla vulnerabilità di tipo “zero-day” che interessa Internet Explorer già osservata dal CERT-SPC dallo scorso 15 Gennaio ed illustrata nella sezione bollettini, si rappresenta che in ambito SPC al momento non sono stati segnalati incidenti riconducibili alla stessa. Si evidenzia però il rischio associato alla possibilità di sfruttare tale vulnerabilità in associazione ad iniziative di spam, ai risultati proposti dai motori di ricerca ed ai collegamenti presenti sui social network, inerenti eventi di particolare ed attuale interesse collettivo, quali il recente sisma che ha devastato HAITI o all’attenzione mediatica sull’uscita del film AVATAR. Tali circostanze possono essere utilizzate dagli attaccanti per indurre gli utenti a visitare pagine web appositamente realizzate per inoculare malware o la sfruttare anche questa vulnerabilità in Explorer.
…Microsoft, infine, in una nota preventivamente anticipata al CERT-SPC ha indicato anche l’ipotesi di un aggiornamento di sicurezza di tipo “OUT OF BAND” ovvero straordinario rispetto al normale ciclo di rilascio del software correttivo appena avvenuto per il mese di Gennaio.

Fonte

Poste Italiane Hacked

arturu — Sun, 11 Oct 2009 08:46:40 +0000

Posted in Hacking News Pubblica Amministrazione Web

Sotto attacco il sito delle Poste italiane. Pirati informatici ne hanno alterato l’homepage, scrivendoci una propria nota in italiano, dove dichiarano perché l’hanno fatto: per dimostrare quanto siano deboli le protezioni di Poste e così allarmare i correntisti sulla sicurezza dei loro dati.

Poste smentisce che questi siano mai stati in pericolo, tuttavia. Alle 20.20 di sabato sera, l’attacco: il sito di Poste.it è stato sfregiato dai pirati. Dopo 30 minuti i responsabili se ne sono accorti e hanno messo il sito offline, rendendolo quindi non più raggiungibile dagli utenti.

Sul sito campeggiava una grande scritta, “hacked”, e una nota scritta dai due presunti hacker, che si sono firmati Mr. Hipo e StutM. “Perché questo atto di forza? Per dimostrare a milioni di italiani che i loro dati sensibili non sono al sicuro! Sembra pazzesco – si legge – eppure tutta la sicurezza garantita nei servizi online di e-commerce è solamente apparente”, era scritto nella nota. “Per vostra fortuna noi siamo persone non malintenzionate, perciò i vostri dati e i vostri accounts non sono stati toccati; ma cosa succederebbe – si legge ancora – se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre?”.

“Con questo gesto quindi – continua la nota – invitiamo i responsabili a occuparsi della grave mancanza di sicurezza nei servizi online delle Poste s.p.a.”. I responsabili però minimizzano. “È solo un ‘defacement’ che riguarda il sito informativo di Poste.it. Non sono stati violati i server con i dati personali degli utenti, che quindi non sono mai stati in pericolo” dice a Repubblica.it Gerardo Costabile, responsabile Sicurezza Logica, Poste Italiane.

Il defacement è un’azione dimostrativa abbastanza comune, che consiste nello sfregiare un sito. Al solito, per riuscirci, i pirati sfruttano bug ed errori sul server che regge il sito. “Ancora non sappiamo come l’hanno fatto. Lo sapremo entro domani mattina, probabilmente. Adesso la polizia postale è nei nostri datacenter per le indagini sul caso”, aggiunge. “I defacement comunque sono un fenomeno abbastanza fisiologico su internet, se ne contano circa mille all’anno solo in Italia”.

Vero è che, negli anni, i pirati hanno colpito così siti di varie levature, anche istituzionali. Nel 2006 è capitato persino al ministero della Difesa. “Questa volta fa rumore perché si tratta di Poste e perché i pirati lanciano un’accusa in italiano”, aggiunge. Questo dettaglio in effetti è inusuale. Di solito i defacement sono neutri (semplicemente i pirati fanno vedere quanto sono bravi e scrivono in inglese); stavolta hanno voluto invece gettare fango direttamente sulla reputazione di Poste. Aspetti che potrebbero indirizzare le indagini verso i responsabili.

Fonte Repubblica.it

Legge Stanca? Già applicabile così com’è

arturu — Tue, 29 Sep 2009 15:32:21 +0000

Posted in News Pubblica Amministrazione Web

Riporto una lettera inviata dal presidente dell’associazione IWA-Italy a Punto Informatico riguardo all’articolo sulla legge Stanca pubblicato alcuni giorni fà. Roma – Caro Direttore, sono a scrivere questa lettera come presidente dell’associazione IWA Italy, l’associazione degli sviluppatori esperti di accessibilità riconosciuta come tale dal CNIPA in relazione alla legge 4/2004. Come ben sa sono uno degli autori della legge 4/2004 e dei requisiti tecnici della suddetta legge e spesso mi capita di leggere discussioni in cui la normativa (ma soprattutto il decreto ministeriale contenente i requisiti tecnici) viene – forse per mancata conoscenza dell’argomento – indebitamente criticata.

IWA ha fornito inoltre supporto al CNIPA (Centro Nazionale Informatica Pubblica Amministrazione) anche nella fase di formazione e divulgazione, tramite convegni ed attività di formazione gratuita erogata dallo stesso CNIPA tramite docenti esperti di accessibilità di IWA ITALY. Esperti di IWA inoltre stanno fornendo supporto al CNIPA nella fase del cosiddetto “monitoraggio” dei siti delle P.A. centrali, e stiamo vedendo che la situazione non è poi così nera come spesso viene dipinta.

Innanzitutto, spiace che spesso vengano travisate le parole delle persone, soprattutto “a scoppio ritardato”. Mi riferisco in particolar modo alle considerazioni pubblicate nel Web in cui ci si meraviglia che solo il 3% (tre per cento) delle P.A. centrali abbia ad oggi una home page (non un sito) conforme ai requisiti tecnici della legge 4/2004.

Da qui, tralasciando le solite esternazioni sui mancati obblighi normativi (forse quando si scrive velocemente ci si dimentica che oltre alla legge 4/2004 vi è anche il codice della P.A. Digitale…), nascono purtroppo delle incomprensioni che portano sempre alla stessa minestra: le P.A. non aggiornano i siti Web con conformità ai requisiti tecnici in quanto “di difficile applicazione e molto onerosi”. Lo stesso Antonio De Vanna nelle sue relazioni (la prima delle quali risale ancora al mese di dicembre 2007… ma solo oggi fa “scalpore”), fa ben capire che nel 3% figurano molti casi di eccellenza che dimostrano proprio quanto l’inapplicabilità dei requisiti sia una leggenda metropolitana.

Tra i casi citati dal dott. De Vanna vi sono oltre 150 scuole della Lombardia che – autonomamente e senza necessità di stanziamenti statali – hanno avviato dei processi per sviluppare/convertire i siti dei propri istituti alla conformità dei requisiti tecnici. Cosa significa? Significa che degli insegnanti (quindi non propriamente dei tecnici specializzati o, come si definiscono alcuni, dei “professionisti”) hanno investito del loro tempo per documentarsi, confrontarsi e quindi sviluppare siti Web conformi ai requisiti, incontrandosi e scambiandosi informazioni tramite il progetto Porte aperte sul Web. Se questo non è sufficiente a dimostrare la teoria per cui l’applicazione dei requisiti non è una cosa “per pochi eletti”, basti solo ricordare che ciò che richiama la legge è una raccomandazione del 1999 (del secolo scorso) che richiede di usare in modo corretto elementi ed attributi di linguaggi come HTML e XHTML presenti da oltre 10 anni: chi si vuol definire professionista e ad oggi non sa (o non vuol sapere) che per impaginare dei contenuti vanno seguite delle regole, più che professionista può definirsi un “webbista” e – come tale – non può certo proporsi per fornire servizi a realtà come le Pubbliche Amministrazioni che, per legge, devono fornire servizi fruibili da tutti, indipendentemente dalle disabilità a cui possono essere soggetti alcuni utenti. Per aiutare la crescita dei “webbisti” (o dei professionisti volonterosi), oltre a liste tecniche di discussione gratuite (http://itlists.org), è stato reso disponibile anche un manuale.

Personalmente, dopo aver scritto il manuale di applicazione della legge 4/2004 (con prefazione dell’allora Ministro Lucio Stanca), ho ritenuto utile rilasciarlo gratuitamente a disposizione nel sito del CNIPA, onde evitare le infinite discussioni su liste e forum sulla corretta interpretazione per l’applicazione dei requisiti: il manuale c’è, è quindi scaricabile, fruibile ed è il riferimento anche per chi effettua le verifiche tecniche. Tramite Webaccessibile.org, la risorsa di IWA ITALY per l’accessibilità del Web, sono inoltre disponibili degli strumenti gratuiti di ausilio (citati dallo stesso Antonio De Vanna ai recenti convegni) per la valutazione dei requisiti, tra cui la barra dell’accessibilità.

Rileggendo gli ultimi paragrafi, è ben chiaro che è tutto disponibile gratuitamente, senza alcun costo per lo sviluppatore: l’unico “costo” da sostenere è la riconversione dello sviluppatore dal mancato rispetto degli standard al corretto modo di sviluppare contenuti ed applicazioni per il Web. Spesso durante seminari e docenze veniamo in contatto con persone che, purtroppo, non hanno avuto adeguata formazione nello sviluppo di contenuti tramite linguaggi di marcatura: è un po’ il medesimo problema che si trova quando si chiede quanti sanno formattare correttamente i titoli e – in generale – il documento con i programmi di word processing…

Vorrei quindi concludere questa prima parte della lettera ribadendo per l’ennesima volta che applicare i requisiti di legge non è una cosa riservata a pochi eletti ma è una serie di piccole regole applicabili da chiunque ne comprenda le motivazioni e le modalità di implementazione. Chi non riesce e/o non vuole applicarle spesso estrae dal cilindro la scusa della difficoltà o della particolare onerosità: in questo caso consigliamo sempre alle P.A. di cambiare fornitore in quanto inadeguato alle esigenze di garantire l’accesso a tutti i cittadini.

Tra le altre critiche che sorgono in questi giorni vi è il mancato adeguamento della legge ai nuovi “standard”, quali il cosiddetto “Web 2.0″. È doveroso fare una premessa secondo cui il “Web 2.0″ non è altro che un termine commerciale per vendere qualcosa di vecchio come fosse novità anche alle stesse P.A.. Vorrei ricordare ad esempio che AJAX non è altro che la combinazione di Javascript con chiamate tramite oggetto XMLHTTPRequest disponibile già da Microsoft Internet Explorer 5.0, quindi nulla di nuovo a livello di “tecnologia”. È pur vero che l’attuale normativa (basata sulle uniche raccomandazioni internazionali ritenute “stabili” dalla stessa UE) pone un vincolo all’uso di script: il requisito 15, difatti, prevede che la pagina deve essere fruibile anche in assenza di script. Questo, in alcuni casi, è possibile farlo anche per applicazioni AJAX-based in quanto un buon sviluppatore AJAX sa che deve pensare all’uso di AJAX all’interno dell’applicazione ma deve applicarlo alla fine, ovvero deve comunque garantire l’utilizzo dell’applicazione anche in mancanza di AJAX.

Il Web evolve, e col Web evolvono anche le specifiche: stiamo difatti sviluppando all’interno del W3C le future raccomandazioni per il Web tra cui le WCAG 2.0 per l’accessibilità dei contenuti e le ATAG 2.0 per l’accessibilità delle applicazioni che generano contenuti per il Web. Le WCAG 2.0 porteranno, tra le novità, la possibilità di utilizzare tecnologie “accessibility supported”, ovvero una serie di tecnologie (HTML, CSS, Javascript) dichiarate direttamente accessibili da utenti con tecnologie assistive, supportate dai browser più comuni in modo nativo e/o tramite plug-in. Questo significa che le WCAG 2.0 rimuoveranno il limite del requisito 15 ma chiederanno allo sviluppatore di garantire direttamente l’accessibilità degli script e degli oggetti di programmazione. Non sarà quindi sufficiente, ad esempio, inserire una mappa di Google o un widget di Flickr/YouTube nel sito della P.A. ma si dovrà “potenziare” l’oggetto inserendo delle funzionalità che consentiranno – per ogni elemento presente – l’identificazione del ruolo, dello stato e delle proprietà (ovvero, quanto richiesto dalla nascente specifica WAI-ARIA del W3C).

Pertanto consigliamo già da oggi di documentarsi su come produrre applicazioni accessibili: personalmente ho prodotto un libro a cui hanno partecipato esperti internazionali del settore e, per chi vuole essere all’avanguardia, consiglio di studiarsi i nuovi frame work accessibili.

Allo sviluppo di queste specifiche partecipano, come unici italiani, i soci IWA che nella fase di adeguamento della 4/2004 potranno portare il loro attivo contributo nello sviluppo di requisiti basati sui nuovi standard. Anche l’ISO si sta muovendo nello sviluppo di nuove norme per le interfacce Web (ISO 9241-151) ed anche in questo caso i soci IWA partecipano attivamente alla definizione di tali norme tecniche. Ci tengo a precisare che chiunque, all’interno di IWA, può partecipare a queste attività sapendo bene che richiedono tempo (audio conferenze settimanali, discussioni in liste tecniche, ecc. ecc.) e non prevedono compensi. Lo stesso W3C sta riconoscendo le potenzialità di italiani e questo ha portato alla nascita di una nostra divisione (IWA Labs) dedicata alla sperimentazione delle future specifiche: stiamo testando soluzioni per XHTML 2, per SMIL 3.0, WAI-ARIA e vediamo come sia possibile effettivamente garantire maggior solidità ed accessibilità alle applicazioni Web.

Riguardo all’adeguamento normativo italiano, ricordando che siamo legati all’art. 12 della legge 4/2004:

1.Il regolamento di cui all’articolo 10 e il decreto di cui all’articolo 11 sono emanati osservando le linee guida indicate nelle comunicazioni, nelle raccomandazioni e nelle direttive sull’accessibilità dell’Unione europea, nonché nelle normative internazionalmente riconosciute e tenendo conto degli indirizzi forniti dagli organismi pubblici e privati, anche internazionali, operanti nel settore.
2.Il decreto di cui all’articolo 11 è periodicamente aggiornato, con la medesima procedura, per il tempestivo recepimento delle modifiche delle normative di cui al comma 1 e delle innovazioni tecnologiche nel frattempo intervenute.

Chi si occupa di aggiornare il decreto con i requisiti? Il Ministro per l’Innovazione e le tecnologie che, nella definizione dei primi requisiti, affidò lo sviluppo alla “Commissione interministeriale permanente per l’impiego delle tecnologie dell’informazione e della comunicazione a favore delle categorie deboli o svantaggiate” presieduta dal Prof. Pierluigi Ridolfi che, nel 2003, costituì una segreteria tecnico-scientifica coordinata dal dott. Antonio De Vanna ed alla quale parteciparono rappresentanze di associazioni di produttori di hardware e software, associazioni di disabili ed associazioni di sviluppatori esperti di accessibilità. La segreteria tecnico-scientifica avviò una serie di gruppi di lavoro, arrivando alla predisposizione dei requisiti tecnici tra cui i requisiti per i siti Internet, pubblicati (cosa mai successa in precedenza) nelle bozze di lavoro per raccogliere commenti dal mondo degli sviluppatori.

Successivamente, viste anche le fasi di mancata applicazione della legge legate all’idea secondo cui in mancanza di un contratto non vi sono obblighi per le P.A., come IWA abbiamo scritto nel novembre 2006 una lettera al Ministro Nicolais, ai sottosegretari Magnolfi e Scanu e alla Commissione Trasporti della Camera sollecitando la discussione del progetto di legge 1226 Campa-Palmieri II, depositato tra l’altro già dal 31 luglio 2006,lettera che ad oggi non ha avuto alcuna risposta.

Ulteriore nota negativa è legata al fatto che l’attività della commissione interministeriale permanente (e quindi della Segreteria) è rimasta ferma per oltre due anni: solo verso la fine del 2007 il Ministro Nicolais tramite un Decreto rimuoveva la commissione interministeriale permanente a favore di una commissione ministeriale la cui durata era limitata alla legislatura. La commissione fu riassegnata con presidenza a Pierluigi Ridolfi e con la Segreteria tecnica assegnata ad Antonio De Vanna: sfortuna volle che la segreteria riuscì ad effettuare una sola riunione in cui chiaramente si intendeva analizzare l’attuale situazione per adeguare i requisiti tecnici ai nuovi standard – non appena questi saranno disponibili.

Ora si è quindi in attesa della ricostituzione della Commissione (auspicando ad un ritorno alla Commissione Interministeriale) e con la costituzione di una Segreteria tecnica che – a mio avviso – dovrebbe non dipendere dalla durata della legislatura ma dovrebbe garantire un costante monitoraggio delle norme e raccomandazioni al fine di poter agevolmente fornire al Ministro competente delle proposte di adeguamento delle cosiddette regole tecniche.

I tempi quindi sono maturi per iniziare a discutere di WCAG 2.0, ATAG 2.0, WAI-ARIA ed ISO 9241-151 magari predisponendo una versione transitoria dei requisiti per garantire un tempo utile di adeguamento sia agli sviluppatori che alle P.A. La mia idea è quella di proporre inizialmente la sostituzione del requisito 15 con un requisito di chiara ispirazione alle WCAG 2.0, in particolar modo al criterio di successo 4.1.2:

4.1.2. Nome, ruolo, valore. Per tutti i componenti presenti nell’interfaccia utente come: il nome, il ruolo, gli stati, le proprietà e i valori di programmazione possono essere determinati programmaticamente mentre gli stati, le proprietà, ed i valori che anche l’utente è in grado di impostare, possono anche essere stabiliti in modo programmatico. Qualsiasi notifica delle modifiche a questi elementi è disponibile ai programmi utente, tra cui le tecnologie assistive.

In questo modo si chiede quindi allo sviluppatore di usare in modo corretto le nuove tecnologie “Web 2.0″, garantendo alla tecnologia assistiva di comprendere il ruolo di elementi che, per definizione, non sono oggetti attivi (esempio: elementi “div” o “span” utilizzati per simulare menu a tendina, checkbox, ecc. ecc.) e soprattutto di comprendere eventuali azioni/modifiche di contenuto generate in modo dinamico (esempio: notifica di invio e-mail tramite AJAX, ecc.).

IWA ha attivato un gruppo di lavoro (aperto a tutti gli associati) nel progetto IWA LABS con lo scopo di lavorare già alla predisposizione di una bozza di requisiti tecnici basati sulle versioni “2.0″ delle linee guida del progetto WAI del W3C, con finalità di predisporre un documento che sarà presentato come base di discussione alla prima riunione utile della futura segreteria tecnico-scientifica a cui IWA parteciperà, come in precedenza, come associazione degli sviluppatori esperti di accessibilità (tra i quali, ricordo, figurano gli unici italiani che stanno sviluppando le raccomandazioni W3C-WAI).

Sperando che quanto detto sopra possa chiarire anche ai Vostri lettori che la mancata applicazione della normativa non è legata all’inefficienza della legge 4/2004 ma va ricercata all’interno di altre problematiche dirigenziali e tecniche all’interno delle P.A., cordiali saluti.

Roberto Scano
Presidente IWA ITALY

Fonte Punto-Informatico.

Legalità nei siti della Pubblica Amministrazione

arturu — Tue, 29 Sep 2009 15:30:12 +0000

Posted in Mercato News Pubblica Amministrazione Web

Non ci sono mezzi termini per descrivere i risultati dell’analisi del CNIPA sui progressi delle presenze web della pubblica amministrazione: i disabili non sono considerati, gli strumenti che utilizzano per accedere ad Internet, ai contenuti e ai servizi non sono presi in considerazione, le loro necessità sono semplicemente dimenticate dalla PA online.Il CNIPA, il braccio informatico del Governo, ha condotto una rilevazione sulla presenza web delle amministrazioni pubbliche riscontrando, a molti anni dalla Legge Stanca sull’accessibilità dei siti web pubblici, che solo il 3 per cento dispone di siti web accessibili.

Ieri al Forum PA ne ha parlato l’esperto dell’organismo tecnico, Antonio De Vanna, che nel corso del convegno Accessibilità tra attuazione ed evoluzione ha spiegato che “sulle home page di 1.426 siti di Pubbliche Amministrazioni centrali, emerge che la conformità alle 9 caratteristiche analizzate, riconducibili a 8 dei 22 requisiti previsti dal DM 8 luglio 2005, è raggiunta solo dal 3 per cento del totale, con alcune amministrazioni la cui conformità raggiunge il 6 per cento”.

Sono passati quattro anni dal varo della Legge Stanca, ha sottolineato De Vanna, e “a circa tre anni dalla sua entrata in vigore non sono ancora soddisfacenti i risultati raggiunti su questo fronte dalla Pubblica Amministrazione Centrale e da quella Locale”.

La norma è in sé promossa a pieni voti, ha spiegato l’esperto del CNIPA, evidenziando come sia stata presa a modello a livello europeo. Il problema sta tutto nella lentezza del processo di attuazione ma anche nel mancato ricorso alle sanzioni: come a dire che molti siti delle PA violano la norma ma questo non ha conseguenze. Questi elementi, uniti alla “necessità di presidiare l’innovazione tecnologica e l’evoluzione del concetto di categoria svantaggiata – ha continuato De Vanna – ci spingono a riflettere su nuove azioni normative, culturali ed organizzative che diano nuovo slancio all’adeguamento da parte della Pubblica amministrazione e che consentano di raggiungere l’obiettivo fissato dalla Conferenza Ministeriale di Riga, ovvero la piena conformità di tutti i siti della Pubblica amministrazione entro il 2010″.

Il tempo non abbonda ma, secondo De Vanna, con un “maggior coinvolgimento della classe dirigente responsabile dei Sistemi Informatici, della Comunicazione e dell’Accessibilità” è possibile portare a casa il risultato. Per ora rimane il fatto che i molti servizi online della PA, pur tempestati dal ricorso ossessivo a piattaforme proprietarie e talvolta criticati perché scarsamente funzionati ed utili, sono accessibili perlopiù alla sola popolazione abile. Sul sito del CNIPA una sezione dedicata può consentire a tutte le amministrazioni, centrali e locali, di riscattare il proprio clamoroso ritardo, offrendo le linee guida per mettere in atto le misure necessarie a trasformare le proprie presenze su web. Altre info e riferimenti, oltreché sui numerosi siti di settore, si trovano su publiaccesso.gov.it.

(fonte immagine)

Fonte Punto-Informatico